“공인인증 15년이 보이스피싱 천국 만들었다”
김기창 고려대 법학전문대학원 교수
김기창 고려대 법학전문대학원 교수는 정부가 직접 전자금융 보안산업을 관리하는 관행을 벗어나
이 분야에 경쟁을 도입해야 한다고 목소리 높였다.
2월27일 구글코리아 집현전 회의실에서 열린 오픈넷 아카데미 공개강연 자리였다.
김기창 교수는 오픈넷 이사도 맡고 있다.
이날 강연은 공인인증서 제도에 초점을 맞췄다. 인증서는 인터넷에서 사용자 신분을 확인하고 거래내역을 확인하는 데 쓰는 암호 파일이다. 공인인증서는 정부가 공인한 기관에서 발급한 인증서를 말한다.
1999년 정보통신부(지금 미래창조과학부)가 인터넷 상거래에 관한 법(전자금융거래법, 전자서명법)을
만들면서 이 과정을 안전하게 보호하기 위해 공인인증서를 도입했다.
정통부는 금융 규제기관인 금융감독원에 전자상거래에 공인인증서를 쓰라는 규제를 만들어달라고
요청했고, 금감원은 정통부 요청을 받아들였다.
15년이 지나는 동안 규제가 조금씩 바뀌긴 했지만 공인인증서를 쓰도록 강요하는 큰 틀은 바뀌지 않았다.
김기창 교수는 15년 동안 고집해 온 공인인증 제도 때문에 한국이 ‘보이스피싱 천국’으로 전락했다고
비판했다.
“관공서가 인정한 보이스피싱 피해 건수만 1년에 수천건이에요. 2013년에만 4천건이 넘었어요.
이 자료는 공개 안 해요. 국회에 대외비로만 돌리죠. 공신력 있는 기관에서 조사한 적도 없고 이름을 걸고 피해 통계를 공개한 기관도 없어요. 이걸 누가 해야 하죠? 개인인 제가요? 아니면 정부부처가요? 정부부처가 왜 안할까요? 자기들이 안전하다고 쓰라고 했는데 사고가 이만큼 난다는 걸 인정하기 싫은거죠.”
김기창 교수는 한 보이스피싱 사건을 예로 들었다. 중국 보이스피싱 조직은 피해자 ㄱ씨 정보로 공인인증서를 재발급받아 ㄱ씨 계좌에서 대포통장으로 돈을 빼돌렸다. 은행이 법원에 제출한 자료를 보면, 은행은 이미 이 거래가 보이스피싱임을 알고 있었다. 보이스피싱 조직이 한국에서 접속한 것처럼 인터넷 주소(IP)를 속인 것은 물론이고 진짜로 접속한 인터넷 주소도 파악했다. 거액이 신용불량자 계좌로 빠져나간 점도 알았다. ㄱ씨는 평소 집에서 같은 컴퓨터로만 인터넷뱅킹을 써왔다는 점도 은행은 알고 있었다.
은행 스스로도 보이스피싱으로 돈을 빼나간 거래를 ‘심각’하게 위험한 거래로 분류했다. 알고도 막지 않았다는 얘기다. 왜 그랬을까. 공인인증서를 제시했다는 이유 때문이다.
김기창 교수는 “공인인증서를 쓰는 거의 유일한 이유는 부인방지”라고 말했다. 부인방지는 이게 내가 한 거래가 아니라고 딴소리 못 하도록 거래내역을 확인하는 일이다. 전자금융 서비스를 쓰면서 내 공인인증서로 신분을 인증하고 거래내역에 전자서명을 했기 때문에 그 거래를 내가 한 것이라고 확신할 수 있다는 말이다. 하지만 실상은 다르다. 김기창 교수가 소개한 사건처럼 공인인증서를 빼돌려 돈을 가로채는 일이 비일비재하게 일어난다. 공인인증서를 고집할 까닭이 없는 셈이다.
보이스피싱을 당해도 피해자가 은행에 책임을 묻기는 사실상 불가능하다.
김기창 교수는 한국에서 보이스피싱 피해자가 은행에 소송을 걸어 배상금을 받은 사례가 없다고 말했다.
은행 쪽이 배상을 안 해도 되는 법 규정을 교묘히 이용한다고 김기창 교수는 설명했다.
“법에 공인인증서를 위조해 거래하면 배상해주라고 돼 있어요. 은행 쪽 변호사는 보이스피싱으로 피해자 공인인증서를 재발급받은 건 부정재발급이지 위조가 아니라고 주장해요. 공인인증기관이 발급해준 문서니까 위·변조는 아니라는 겁니다. 그러니까 은행이 배상 안 해줘도 된다는 주장이 지금까지 법원에서 인정돼 왔어요.”
김기창 교수는 공인인증서 제도가 한국 사회 경쟁력을 좀먹는다고 꼬집었다.
“보안업계가 왜 이리 팍팍하냐고 푸념하는 보안전문가, 어떻게 보면 불쌍해요. 보안 분야가 왜 레드오션이 됐는지 구조적으로 이해를 못하는 거예요. 지금처럼 금융감독원 규정만 지켜도 사고 났을 때 배상 안 해줘도 되는데 어떤 은행이 투자를 합니까. 보안 트렌드를 이해할 필요도 없고 투자할 이유도 없는 상황이니 투자할 압력이 없는 거죠.”
그럼 어떻게 해야 할까. 공인인증서를 없애야 하나. 김기창 교수는 아니라고 말했다.
“공인인증서 자체를 없애자는 게 아니에요. 인증 시장에 민간 업체도 들어올 수 있도록 해서 보안 시장에 경쟁 체제를 도입하자는 거죠. 지금은 정부가 ‘공인’이라는 이름으로 보안기술을 획일적으로 지정해둔
상황이에요. 정부가 특정 기술을 골라 강제하는 일을 그만두면, 다양한 기술이 보안 시장에 들어와
경쟁하게 될 겁니다.”
“독소조항, 그냥 다 삭제하면 된다는 게 제 생각이에요.” 김기창 교수가 제안한 개선안은 간단했다.
공인인증 제도를 규정한 규제를 모두 없애라는 것이다. 하지면 현행 규정을 뿌리째 뽑아내면 혼란이
생기지 않을까. 김기창 교수는 이미 대답을 준비해두고 있었다.
“이런 얘기하면 가장 많이 듣는 얘기가 ‘제도 확 바꾸면 엄청난 혼란과 막대한 비용이 든다’는 것과
‘사고 나면 어떻게 할 거냐’라는 겁니다. 제가 2006년에 인터넷 익스플로러 말고 다른 웹브라우저에서도
인증서 쓸 수 있게 해달라고 했더니 그때도 똑같은 얘기가 나왔어요.
그런데 2014년 지금은 파이어폭스나 구글 크롬에서도 인증서 쓰고 다 합니다. 천문학적 비용 들었어요?
시스템 다 뜯어고쳤나요? 공인인증서를 강제한 규정 3개 다 없어지면 어떨까요. 공인인증서 쓸 은행은
계속 공인인증서 쓰면 돼요. 작은 은행은 공인인증서 들어내고 다른 편리한 솔루션 쓸 수 있겠죠.
이게 뭐 혼란이고 큰 변화예요? 각각 서비스 제공업체가 자기가 원하는 대로 굴러가면 되는 거예요.
한국 말고는 다 이렇게 합니다.”
이미 공인인증서 제도를 바꾸려는 움직임은 가시화됐다. 박근혜 대통령은 지난 대선 때 공인인증서 외
인증수단을 도입하겠다고 공약했고, 최문기 미래부 장관도 인사청문회에서 공인인증서에 종속된 전자금융 환경을 개선하겠다고 밝혔다. 새누리당 권은희 의원은 미래부에 공인인증 방식을 개선해달라고 요구했고, 민주당 이종걸·최재천 의원은 공인인증서 사용을 강요하지 못하게 못박는 전자금융거래법 개정안을 발의했다.
그런데도 바뀌지 않는 이유는 무엇일까.
김기창 교수는 손에 잡히는 대안이 없기 때문이라고 봤다. “뭔가 바뀌어야 할 때라는 당위는 많이 인정하는 것 같아요. 문제는 구체적으로 어떻게 할 지를 모르는 거예요. 금융위가 규제를 해야 하는 건 맞아요. 그걸 어떻게 할지가 관건이죠. 그래서 이 자리에서 제가 구체적인 청사진까지 제시한 겁니다.”
김기창 교수는 공인인증 제도를 못박은 전자금융감독규정을 어떻게 바꿀지 개선안을 들고 나왔다.
김기창 교수가 내놓은 개선안은 규제기관 역할을 소비자 보호로 못박았다.
기술에 개입하거나 특정 기술을 강요하지 말고, 전자금융 사고현황을 파악해 공표하고 금융회사가 전문성과 독립성을 갖춘 외부 보안점검 전문업체에 정기적으로 보안감사를 받도록 해야 한다는 주장이다.
“현행 규정을 이런 식으로 바꾸면 공인인증서 문제가 해결됩니다. 감독도 훨씬 합리적으로 될 겁니다.
제가 희망하는 식으로 바꾸면 규제기관도 규제자 역할을 합리적으로 할 수 있고, 기술도 활발히 경쟁할
수 있고, 소비자도 보호되고, 금융보안도 지금보다 안전해질 수 있습니다.”
